Plus de 8 millions de dollars volés lors du troisième piratage de la plateforme DeFI bZx

Faits marquants:

Les hackers ont réussi à profiter d’un bug dans le contrat et à dupliquer les jetons bZx.

Les gestionnaires s’assurent que les fonds sont en sécurité et que les pertes seront absorbées par le système.

8 millions de dollars du protocole de prêt DeFi, bZx, ont été volés au cours du week-end. Les attaquants ont exploité une vulnérabilité dans les contrats intelligents de la plate-forme, une action qui leur a permis de doubler les jetons iTokens et de retirer environ 4700 ETH.

C’est le troisième piratage subi par ce protocole de prêt décentralisé en 2020, traçant les pertes annuelles à plus de 9 millions de dollars. Cette dernière attaque a été la plus importante, car selon les rapports, il est indiqué que les 8 millions de dollars équivaut à 30% des fonds bloqués dans les contrats intelligents de bZx.

Juste après le vol, l’équipe bZx a rapporté sur ses réseaux sociaux que les fonds des utilisateurs ne sont pas menacés parce que les attaquants n’ont pas volé directement les portefeuilles des utilisateurs, mais ont plutôt généré de l’argent artificiel. De même, dans un communiqué de presse, ils ont ajouté que toute la dette du piratage serait absorbée par le système, grâce à un fonds d’assurance adossé aux flux de trésorerie de la plateforme. En ce sens, les 8 millions de dollars volés ont été couverts par la société qui a désormais «une dette temporaire» auprès du fonds.

La directive du protocole a réussi à retracer l’adresse des hackers, dont les mouvements sont enregistrés sur la blockchain Ethereum. Les attaquants ont d’abord réussi à voler leur butin dans trois transactions différentes et continuent à mobiliser l’argent via le réseau. Il n’a pas été annoncé ce que l’entreprise fera de ces informations, ni si elle contactera les autorités à propos de ce vol.

Les audits ne sauvent pas DeFi bZx des vulnérabilités

Bien que les doutes sur l’éventuel impact financier de cette attaque aient été résolus, les membres de la communauté crypto s’interrogent sur la sécurité de plates-formes telles que bZx et d’autres applications DeFi.

L’entreprise a veillé à ce que ses contrats soient audités à plusieurs reprises et restent ouverts pour améliorer leur sécurité. Cependant, le protocole comporte déjà deux autres hacks en moins d’un an. L’attaque au début de 2020 a causé des pertes de plus de 900 000 $ US, après qu’un groupe d’utilisateurs malveillants a réussi à faire échouer les opérations de la plate-forme. À ce moment-là, les développeurs avaient été informés de cette erreur, mais elle n’avait pas été résolue à l’époque.

L’histoire se répète aujourd’hui, puisque la faille de sécurité exploitée cette fois par des hackers avait été détectée par l’ingénieur de Bitcoin.com Marc Thalen quelques heures avant son utilisation. Cependant, les développeurs de cette plateforme n’étaient pas éveillés pour le moment et n’ont pas pu résoudre le problème avant qu’il ne soit utilisé contre eux.

Les attaquants auraient profité d’une vulnérabilité dans la fonction _internalTransferFrom () des contrats intelligents du protocole. Ce serait une option détenue par tous les jetons Ethereum ERC-20, et qui est responsable du transfert desdits actifs. Cependant, Dans le cas particulier de bZx, il y avait une erreur qui permettait à un utilisateur d’augmenter artificiellement son solde, il a donc été exploité pour dupliquer ses jetons.

Le correctif dans le code bZx empêcherait un utilisateur de gonfler son solde. Source: blog bZx.

Le conseil d’administration de bZx a souligné avoir intégré une nouvelle exigence pour pouvoir transférer les jetons, qui a été vérifiée par deux sociétés de sécurité: Peckshield et Certik. Désormais, pour transférer des jetons, les utilisateurs devront attendre que la réduction de solde soit définie quelques minutes après l’approbation d’une transaction. Cela empêchera une entité malveillante d’augmenter artificiellement vos fonds.

La déclaration de la plateforme de prêt indique également qu’il s’agit de l’un des protocoles «les plus complexes», c’est pourquoi ils craignent que peu importe la manière dont les experts en sécurité vérifient leur code, il puisse toujours y avoir des bogues non identifiés.

Les utilisateurs de l’écosystème de la finance décentralisée (DeFi) doivent être conscients que nombre de ces projets peuvent présenter des vulnérabilités ou des erreurs de frappe dans leurs contrats intelligents, des failles de sécurité qui les exposent à la perte de fonds monétaires. Des audits publics et des programmes de récompenses sont nécessaires pour détecter ces problèmes, mais il est vrai que les applications DeFi sont pour la plupart expérimentales et peuvent avoir des bogues cachés.